수백개 파일에서 SQL쿼리와 쿼리audit

Req)

어떤 기업이 마케팅팀에서도 SQL쿼리를 사용가능하게 해서 고객 레코드를 통해서 마켓 세그먼트를 식별하려고 합니다.

데이터는 수백개 파일에 걸쳐 있습니다. 레코드는 전송중과 휴지상태에서도 암호화 되어야 합니다.

팀매니저는 유저와 그룹을 관리할 수 있어야 하며 팀멤버는 서비스와 리소스에 SQL쿼리이외에는 접근할 수 없습니다.

추가로 Admin은 쿼리를 audit하고 쿼리 보안팀 정의 룰을 위반하는 쿼리에 대해서는 noti.를 받아야 합니다.

AWS Organizations은 신규 계정을 생성하고 팀매니저를 위한 admin 퍼미션이 있는 IAM유저를 생성합니다.

어떤 설계가 이런 요구사항을 충족할 수 있을까요?

Sol) SCP(sevice contorl policy) Athena, S3, CloudTrail,